圖1:惡意郵件截圖
這是一個(gè)完全虛假的騙局���,電子郵件中所謂的“掃描系統(tǒng)……”其實(shí)根本沒(méi)有發(fā)生�。受害者被直接告知其電腦已感染worm W32.Swizzor.C-WORM蠕蟲(chóng)病毒�����,然后被提示下載清除工具����,以保護(hù)電腦。
當(dāng)用戶點(diǎn)擊醒目的“下載”按鈕則會(huì)被定向到如下地址:
hxxp://www.protectedssl.net/removal/SymantecRemoval&2012&09.data=SwizzorC.php����。
而用戶下載到的所謂清除工具,其實(shí)是來(lái)自hxxp://www.protectedssl.net/RemovalTool.exe的惡意文件�。
Websense ACE™在針對(duì)第一個(gè)鏈接進(jìn)行分析時(shí)�,便能實(shí)時(shí)察覺(jué)異常狀態(tài)�����,并保護(hù)用戶免受其害���。點(diǎn)擊此處可以看到對(duì)ACE第一個(gè)URL的分析報(bào)告:
此外�,作為Websense 網(wǎng)絡(luò)安全智能(CSI)服務(wù)的一部分��,ThreatScope analysis也會(huì)將準(zhǔn)確地將RemovalTool.exe識(shí)別為惡意軟件��,因?yàn)槠浯嬖谌缦滦袨椋?/p>
1.HTTP定向到托管惡意內(nèi)容的服務(wù)器
2.釋放一個(gè)或多個(gè)可執(zhí)行文件
3.HTTP定向到未分類(lèi)的服務(wù)器
4.通過(guò)惡意軟件篡改用戶常用的配置信息目錄中的系統(tǒng)文件
詳細(xì)的ThreatScope報(bào)告請(qǐng)看這里
截止到發(fā)稿時(shí)���,Virustotal 統(tǒng)計(jì)報(bào)告顯示,42家提供免費(fèi)病毒掃描的反病毒商中�,僅有3家將該文件識(shí)別為惡意軟件:
圖2:Virustotal 統(tǒng)計(jì)報(bào)告截圖
那 么Websense是如何針對(duì)這類(lèi)威脅提供防護(hù)的呢?首先,Websense電子郵件安全產(chǎn)品通過(guò)網(wǎng)絡(luò)流量�、聲譽(yù)和垃圾郵件規(guī)則進(jìn)行綜合分析,判斷此類(lèi)郵 件是否為垃圾郵件���,并加以阻截��。另一方面����,即使用戶點(diǎn)擊惡意鏈接,Websense的網(wǎng)絡(luò)安全產(chǎn)品(Web Security Gateway���、Web Security Gateway Anywhere及Cloud Web Security)也可在載入U(xiǎn)RL的同時(shí)對(duì)其進(jìn)行實(shí)時(shí)的分析����,以提供更高級(jí)別的防護(hù)�。
